암호화폐 거래소 크라켄(Kraken)이 300만 달러(약 41억4832만원) 상당의 자금을 도난당했다.
20일 해커뉴스 등 외신에 따르면 암호화폐 거래소 크라켄은 “익명의 보안 연구원이 거래소 플랫폼의 치명적인 결함을 악용해 300만 달러 상당의 디지털 자산을 훔쳤다”고 밝혔다.
자산을 훔쳐간 연구원은 최근 크라켄의 버그바운티를 발견한 사람으로 파악됐다. 버그바운티는 소프트웨어나 IT 서비스의 보안 취약점을 발견한 최초의 신고자에게 포상을 지급하는 제도이다.
니콜라스 페코코 크라켄 최고보안책임자(CSO)는 X(옛 트위터)를 통해 “지난 9일 한 제보자에게 버그바운티 포상금을 지급했다. 당시 발견한 버그는 공격자가 인위적으로 잔액을 부풀릴 수 있는 매우 심각한 수준의 버그였다”고 전했다.
이어 “보고를 받은 후 해당 문제를 심각하게 다뤘고, 취약점을 바로 해결했다”며 “신속하게 팀을 구성해 문제를 조사했고, 현재는 이로 인한 문제가 발생하지 않는다”고 했다.
그는 “조사 결과 버그는 최근 크라켄의 사용자경험(UX) 개선 작업 중 생겨난 것으로 밝혀졌다”며 “해당 버그를 악용하면 크라켄으로의 예치가 완료되지 않은 자금을 가로챌 수 있으나, 버그 알림을 받자마자 신속하게 문제를 해결했으며 고객 자산에는 피해가 없다”고 강조했다.
다만 “문제는 취약점을 신고한 연구원이 이미 이를 악용해 약 300만 달러 상당의 암호화폐를 탈취했다는 점”이라며 “이 연구원은 상당한 액수의 보상금을 받았으나, 곧 본인의 동료 2명에게 이 버그를 공유했고 이후 크라켄의 계좌에서 300만 달러를 인출했다”고 설명했다.
또 “이 보안연구원은 비즈니스 개발팀과 통화를 요구하며 이 취약점을 공개하지 않았을 때 발생할 수 있는 피해 금액을 산정해 보상금액을 제공할 것을 강요했다”며 “만약 비용을 지불하지 않는다면 암호화폐를 반환하지 않을 것이라고 협박했다”고 말했다.
크라켄은 “현재 도난금 회수를 위해 사법 당국과의 협력을 논의 중”이라며 “거래소 보안을 위해 버그바운티 프로그램을 유지할 계획”이라고 덧붙였다.